Groupes de sécurité

Les groupes (comme chaque objet dans AD) doivent respecter les règles de nommage.

Groupes par défaut

Les groupes suivants ont été automatiquement créés à la création de votre OU :

<unité>-StaffU
Ce groupe ne se situe pas dans votre OU mais dans le domaine intranet, il n’est pas éditable directement, il contient de manière automatique toutes personnes accréditées dans l’unité.

<unité>-AdminsU
Ce groupe se situe dans le domaine intranet, n’est pas éditable et contient tous les comptes d’administration des personnes qui ont le droit “Administrateurs AD délégués” pour l’unité au niveau Accred (comptes AD<sciper>).

<unité>-ComputerAdminsU
<unité>-GuestsU
<unité>-StudentsU
Ces trois groupes existent mais ne sont pas utilisables aujourd’hui à cause d’un bug de l’outil de synchro.

Types de groupes de sécurité (Group scope)

Avant de créer et d’utiliser les groupes de sécurité au sein d’une OU d’unité il faut connaître les différents types de groupes.

Il en existe trois types :

  • Domain Local
    Les groupes locaux reçoivent des permissions d’accès aux ressources. Il convient donc d’utiliser ces groupes pour regrouper les utilisateurs ayant accès à une ressource commune (un dossier partagé par exemple). Les groupes de ce type porteront typiquement le nom de la ressource gérée et le type de l’accès accordé, par exemple : <unité>-Commun Modify-L comprendrait les utilisateurs ayant le droit de modifier le contenu du partage nommé Commun.
  • Global
    Dans la mesure où les groupes globaux ne peuvent contenir que des utilisateurs et groupes du même domaine, nous ne les utiliserons pas.
  • Universal
    Les groupes universels peuvent contenir des utilisateurs et/ou d’autres groupes universels de n’importe quel domaine de la forêt ou “trusté”. Ces groupes portent plutôt des noms de fonction ou “type de collaborateur” et sont membres de groupes de domaine locaux auxquels sont accordées des permissions.

Cette manière d’imbriquer les groupes allège la gestion, car cela permet une gestion selon deux axes:

  • Fonction → groupes universal
  • Accès aux ressources → groupes domain local

Le groupe de domaine local ci-dessus <unité>-Commun Modify-L pourrait donc contenir les groupes universels <unité>-Secrétaires-U, <unité>-Direction-U et <unité>-Chercheurs-U.

Création d’un groupe de sécurité

  • Connectez vous au serveur d’administration.
  • Lancez la console “Active Directory Users and Computers
  • Naviguez dans l’arborescence du domaine jusqu’à l’OU de votre unité.
  • Faites un clic droite sur l’OU dans laquelle vous désirez créer un groupe et cliquez sur “New > Group” (Fig. 1)
    [Screenshot à mettre]
  • Entrez le nom du groupe (selon les règles de nommage) (Fig. 2)
    Sélectionnez l’un des trois “Group scope” (expliqué plus haut)
    Sélectionnez toujours le “Groupe type” : “Security
    [Screenshot à mettre]
  • Cliquez sur “OK

Ajout/Retrait de membres d’un groupe de sécurité

  • Pour modifier les membres d’un groupe, double-cliquez sur le groupe en question ou faites un clic droit dessus puis choisissez “Properties“.
  • Allez sous l’onglet “Members” et à l’aide des boutons “Add” et “Remove” vous pourrez ajouter et supprimer des membres à volonté (Fig. 3)
    [Screenshot à mettre]